Компания Imperva в очередном отчете отметила, что за последние месяцы участились DDoS-атаки на уровень приложений: они более просты и дешевы в исполнении, а также легче обходят защиту, реализованную на уровне сети. Свежий отчет компании основан на данных облачного сервиса Incapsula, собранных с 1 апреля 2015 года по 31 марта 2016 года.

Одна из таких атак достигла мощности 8,7 Гбит/с — это прежде недостижимый показатель для атак на уровень приложений. Атаки на приложения требуют меньше ресурсов, чем атаки на сеть. Учитывая используемую «дидосерами по найму» бизнес-модель, один и тот же бюджет может обеспечить более продолжительную атаку на приложение, если сравнивать ее по продолжительности с типичной атакой на сетевые ресурсы. Например, более 44% атак на приложения длились больше часа; для DDoS-атак на сеть доля таковых составила 12,2%.

За отчетный период 60% DDoS-атак было направлено на уровень приложений, а 40% — на уровень сети; эксперты ожидают, что текущий тренд позволит достичь соотношения 50/50 к 2018 году. DDoS-атаки на сеть позволяют воссоздавать более высокие пики мусорного трафика, так как пакеты, которыми обмениваются сети, намного «легче».

По данным отчета, в среднем атаки на оба уровня происходили с частотой 445 инцидентов в неделю; этот показатель увеличился за прошедший год. Это явление обусловлено рядом факторов. «Входной ценз» для начинающего дидосера постоянно снижается за счет появления недорогих услуг по проведению DDoS-атак под видом проверки защиты сети легитимными инструментами. За год количество атак, использующих «дидосеров по найму», увеличилось с 63,8 до 93%. Большинство исполнителей применяют DDoS для шантажа, рэкета или просто ради развлечения.

Imperva оговаривается, что резкий скачок этого показателя, возможно, объясняется увеличением клиентской базы компании и, следовательно, выборки. Многие новые клиенты рассказывают об участившихся случаях DDoS-вымогательства.

Еще один заметный тренд года — это постепенное повышение мощности атаки. Таким образом злоумышленники изматывают ИБ-команду и снижают эффективность реагирования либо же используют DDoS-атаки для отвлечения внимания от другой, более серьезной проблемы.

Средняя пиковая мощность атак также выросла: самая мощная атака достигла пиковой мощности в 470 Гбит/с. Как пояснили эксперты, пиковая мощность зависит от величины ботнетов.

Большинство атак (87,8%) не превышали 30 минут, а самая продолжительная длилась целых 54 дня. В основном атаки использовали один вектор, но совсем немногие использовали до пяти векторов. Самыми популярными атаками были атаки из UDP-пакетов, за ними по степени популярности следуют SYN-пакеты, TCP-флуды и массированные SYN-флуды.

Основными мишенями атак стали США, а наиболее активные дидосеры находятся в Китае.

Категории: DoS-атаки, Аналитика, Главное